ISO 27001: 2022 Bilaga A Kontroll 5.9 heter Inventering av information och andra tillhörande tillgångar.
Det kräver att organisationer identifierar och dokumenterar de tillgångar som är viktiga för deras verksamhet och tillhörande risker, och vidtar åtgärder för att skydda dem. Detta säkerställer att tillgångar hanteras och övervakas på lämpligt sätt, vilket hjälper till att säkerställa att de är säkra.
I bilaga A till ISO 27001:2022 beskrivs kontroll 5.9, som förklarar hur en lista med information och relaterade tillgångar, tillsammans med deras respektive ägare, måste skapas och hållas uppdaterad.
Organisationen måste erkänna vad den har tillgång till för att kunna bedriva sin verksamhet. Den måste vara medveten om sina informationstillgångar.
En omfattande IA är en avgörande del av alla organisationers datasäkerhetspolicy. Det är en inventering av varje datapost som lagras, bearbetas eller överförs, såväl som platserna och säkerhetskontrollerna för var och en. Det är i huvudsak den finansiella redovisningens motsvarighet till dataskydd, vilket gör att organisationer kan identifiera varje del av data.
En IA kan användas för att identifiera svagheter i ditt säkerhetsprogram och ge information att bedöma cyberrisker som kan leda till intrång. Det kan också vara bevis för att visa att du har vidtagit åtgärder för att identifiera känsliga uppgifter vid efterlevnadsrevisioner, som hjälper dig att undvika böter och straff.
Smakämnen inventering av informationstillgångar bör specificera vem som äger och är ansvarig för varje tillgång, samt värdet och betydelsen av varje post för organisationens verksamhet.
Det är avgörande att hålla lager aktuella för att säkerställa att de korrekt återspeglar förändringar inom organisationen.
Information Asset Management har en lång tradition inom affärskontinuitetsplanering (BCP), disaster recovery (DR) och förberedelser för incidenthantering.
Att identifiera kritiska system, nätverk, databaser, applikationer, dataflöden och andra komponenter som kräver säkerhet är det första steget i någon av dessa processer. Utan kunskap om vad som behöver skyddas, och var det finns, kan du inte planera för hur du ska skydda det.
Begär offert
Kontrollen syftar till att erkänna organisationens information och tillhörande tillgångar för att säkerställa informationssäkerhet och utse rätt äganderätt.
I bilaga A till ISO 27001:2022 beskrivs kontroll 5.9, som beskriver syftet och implementeringsvägledning för att skapa en inventering av information och andra tillgångar i relation till ISMS-ramverket.
Inventera all information och tillhörande tillgångar, klassificera i kategorier, identifiera ägare och dokumentera befintliga/nödvändiga kontroller.
Detta är ett viktigt steg för att garantera att alla datatillhörigheter är tillräckligt skyddade.
För att uppfylla kriterierna för ISO 27001:2022 måste du identifiera informationen och andra tillhörande tillgångar inom din organisation. Därefter bör du bedöma betydelsen av dessa poster med avseende på informationssäkerhet. Om det behövs, föra register i dedikerade eller befintliga inventarier.
Storleken och komplexiteten hos en organisation, befintliga kontroller och policyer, och de typer av information och tillgångar den använder kommer alla att ha en effekt på utvecklingen av en inventering.
Att säkerställa att inventeringen av information och andra tillhörande tillgångar är korrekt, uppdaterad, konsekvent och i linje med andra inventeringar är nyckeln, enligt kontroll 5.9. För att garantera noggrannhet kan man överväga följande:
Vissa organisationer kan behöva hålla flera lager för olika ändamål. De kan till exempel ha specialiserade lager för programvarulicenser eller fysiska enheter som bärbara datorer och surfplattor.
Det är viktigt att regelbundet inspektera allt fysiskt lager som inkluderar nätverksenheter som routrar och switchar för att upprätthålla noggrannheten i inventeringen för riskhanteringssyften.
För mer information om att uppfylla kontroll 5.9, bör ISO 27001:2022-dokumentet konsulteras.
I ISO 27001:2022 har 58 kontroller från ISO 27001:2013 reviderats och ytterligare 24 kontroller har slagits samman. Nya 11 kontroller har lagts till, medan några raderas.
Därför hittar du inte Bilaga A Kontroll 5.9 – Inventering av information och andra tillhörande tillgångar – i 2013 års version, som det nu är en kombination av ISO 27001:2013 bilaga A 8.1.1 – Inventering av tillgångar - och ISO 27001:2013 bilaga A 8.1.2 – Ägande av tillgångar – i 2022 års version.
Bilaga A till ISO 27001:2022 beskriver kontroll 8.1.2, Ägande av tillgångar. Detta säkerställer att alla informationstillgångar är tydligt identifierade och ägda. Att veta vem som äger vad hjälper till att fastställa vilka tillgångar som behöver skyddas och vem som kräver ansvar.
ISO 27001:2013 och ISO 27001:2022 har båda liknande kontroller, dock har bilaga A kontroll 5.9 i den senare utökats för att ge en enklare tolkning. Till exempel dikterar implementeringsvägledningen om ägande av tillgångar i kontroll 8.1.2 att tillgångsägaren ska:
Ägaravsnittet i kontroll 5.9 har utökats till att omfatta nio punkter, istället för de ursprungliga fyra. Rättelser har gjorts i stavning och grammatik, och tonen har ändrats till en professionell, vänlig stil. Redundans och upprepning har eliminerats och skrivandet är nu i en aktiv stil.
Tillgångsägaren bör ta ansvar för lämplig tillsyn av en tillgång under dess livscykel, och se till att:
Att slå samman dessa två kontroller till en underlättar användarens förståelse.
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
De senaste ändringarna i ISO 27001 påverkar inte din nuvarande certifiering mot ISO 27001-standarderna. Endast uppgraderingar till ISO 27001 kan ha effekt på befintliga certifieringar. Ackrediteringsorgan kommer att samarbeta med de certifierande organen för att utforma en övergångsperiod som ger organisationer med ISO 27001-certifikat tillräckligt med tid för att gå från en version till nästa.
Dessa steg måste vidtas för att uppfylla den reviderade versionen:
Under övergången till den nya standarden kommer vi att ha tillgång till nya bästa praxis och kvaliteter för kontrollval, vilket möjliggör en mer effektiv och effektiv urvalsprocess.
Du bör fortsätta med en riskbaserad metod för att garantera att endast de mest relevanta och effektiva kontrollerna väljs ut för ditt företag.
ISMS.online är idealiskt för att implementera ditt ISO 27001 Information Security Management System. Den har utformats speciellt för att hjälpa företag att uppfylla kraven i standarden.
Smakämnen plattformen tillämpar en riskorienterad metod i kombination med ledande branschpraxis och mallar för att hjälpa dig att fastställa vilka risker din organisation står inför och de kontroller som krävs för att hantera dem. Detta gör det möjligt för dig att systematiskt minska både din riskexponering och efterlevnadskostnader.
Du kan dra nytta av ISMS.online för att bygga ett ISMS, skapa en anpassad uppsättning policyer och processer, följa ISO 27001-kriterierna och få hjälp av erfarna rådgivare.
ISMS.online-plattformen är baserad på Plan-Do-Check-Act (PDCA), en iterativ procedur i fyra steg för kontinuerlig förbättring, som uppfyller alla krav i ISO 27001:2022. Det är okomplicerat. Kontakta oss nu för att arrangera din demonstration.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo